Rozdzia³ 13 Sposób instalacji systemu narzuca dostêpne opcje zabezpieczeñ 416 Nowa funkcja! Zachowanie prywatnoœci w³asnych plików 422 Kontrolowanie dostêpu za pomoc¹ uprawnieñ dla systemu plików NTFS 425 Nowa funkcja! Rozwi¹zywanie problemów z uprawnieniami 442 Zabezpieczanie plików i folderów Czêœæ III: Zarz¹dzanie plikami Rozdzia³ 13: Zabezpieczanie plików i folderów Jeœli z jednego komputera korzystaj¹ dwie osoby lub wiêcej, w jaki sposób mog¹ one uniemo liwiæ uzyskanie dostêpu do swoich prywatnych plików pozosta³ym wspó³u ytkownikom? Jak udostêpniæ im te foldery, z których powinni korzystaæ wszyscy? Jak zabezpieczyæ wa ne pliki przed mo liwoœci¹ usuniêcia ich przez niedoœwiadczonych u ytkowników? Domyœlnie ka - da osoba z kontem u ytkownika w komputerze z systemem Windows XP ma w zasadzie nieograniczony dostêp do plików i folderów. W obu edycjach systemu Windows XP mo esz zablokowaæ innym u ytkownikom dostêp do prywatnych plików i folderów, zaznaczaj¹c jedno pole wyboru. Tak wiêc nawet jeœli nie masz zbyt wielkiego pojêcia o zasadach bezpieczeñstwa, mo esz mieæ pewnoœæ, e twoje pliki s¹ bezpieczne. Natomiast Windows XP Professional oddaje do dyspozycji dodatkowe, zaawansowane opcje bezpieczeñstwa, które pozwalaj¹ na kontrolowanie dostêpu na poziomie poszczególnych zasobów i u ytkowników. Jeœli do tej pory korzysta³eœ g³ównie z systemów Windows 95, Windows 98 lub Windows Me, to pojêcie bezpieczeñstwa i zabezpieczeñ jest ci prawdopodobnie ma³o znane. Wymienione powy ej systemy operacyjne mia³y w za³o eniu s³u yæ u ytkownikom prywatnym, dlatego te oferowa³y jedynie podstawowe zabezpieczenia. Natomiast jeœli masz doœwiadczenie w pracy w systemach operacyjnych Windows NT lub Windows 2000, to prawdopodobnie znasz ju podstawowe pojêcia zwi¹zane z kontrol¹ dostêpu do zasobów. Zaczynaj¹c przygodê z Windows XP, bêdziesz musia³ zrozumieæ przede wszystkim now¹ funkcjê Prostego udostêpniania plików.
416 Czêœæ III: Zarz¹dzanie plikami W tym rozdziale koncentrujemy siê wy³¹cznie na udostêpnianiu i zabezpieczaniu plików wspó³u ytkowanych przez u ytkowników loguj¹cych siê w tym samym komputerze. Je eli chcesz dowiedzieæ siê, w jaki sposób mo na wspó³u ytkowaæ pliki i foldery w sieci, przeczytaj podrozdzia³ Konwersja dysku FAT32 na NTFS na stronie 720. Sposób instalacji systemu narzuca dostêpne opcje zabezpieczeñ Rodzaj kontroli nad udostêpnionymi plikami i folderami w komputerze z Windows XP zale y od trzech czynników: Formatu dysku. Kontrola dostêpu, która pozwala na okreœlenie, czy dany u ytkownik mo e otworzyæ folder lub plik, utworzyæ nowe pliki oraz wykonaæ inne operacje na plikach, dostêpna jest tylko na dyskach sformatowanych w systemie plików NTFS. Na dyskach FAT32 wiêkszoœæ lokalnych opcji zabezpieczeñ jest niedostêpna i ka dy u ytkownik mo e uzyskaæ dostêp do dowolnego pliku. Wiêcej informacji na temat ró nicy miêdzy dyskami NTFS i FAT32 znajdziesz w podrozdziale NTFS czy FAT32: który system plików wybraæ? na stronie 740. Wydania Windows XP. Domyœlnie Windows XP Home Edition i Windows XP Professional udostêpniaj¹ uproszczone zasady bezpieczeñstwa, które pozwalaj¹ na korzystanie z ograniczonej liczby ustawieñ zabezpieczeñ w³aœciwych dla pracy w grupie roboczej. Je eli korzystasz z Windows XP Professional, mo esz w pe³ni korzystaæ z opcji zabezpieczeñ, przypominaj¹cych te stosowane w Windows 2000. W tym rozdziale omówimy szczegó³owo wszystkie ró nice miêdzy dostêpnymi opcjami. Ustawienia kont u ytkowników. Podczas instalacji Windows XP tworzy kilka udostêpnionych folderów, które maj¹ w za³o eniu przechowywaæ pliki udostêpnione przez wszystkich u ytkowników. (Foldery te s¹ niedostêpne, jeœli komputer jest czêœci¹ domeny Windows). Dodatkowo, ka dy u ytkownik komputera mo e okreœliæ niektóre foldery jako prywatne. Wiêcej informacji na temat ró nic w opcjach bezpieczeñstwa oraz interfejsu Windows w komputerze pracuj¹cym jako czêœæ domeny znajdziesz w podrozdziale Domeny i Grupy robocze na stronie 920. NTFS i FAT32 Najwa niejszym czynnikiem wp³ywaj¹cym na dostêpnoœæ opcji bezpieczeñstwa jest wybór systemu plików dla dysku, na którym zainstalowano Windows oraz umieszczono pliki profili u ytkowników. Jeœli dysk sformatowany jest przy u yciu systemu plików FAT32, to nie dotyczy ciê adna z opcji omawianych w tym rozdziale. Jedynym sposobem w³¹czenia zaawansowanych zabezpieczeñ jest dokonanie konwersji dysku na system plików NTFS. Szczegó³owe instrukcje dotycz¹ce konwersji z systemu FAT32 na NTFS znajdziesz w podrozdziale Konwersja dysku FAT32 na NTFS na stronie 742.
Rozdzia³ 13: Zabezpieczanie plików i folderów 417 WSKAZÓWKA Dostêp do zaawansowanych funkcji zabezpieczeñ NTFS w wersji Home Edition Wielokrotnie w tej ksi¹ ce wspominamy, i u ytkownicy Windows XP Home Edition nie mog¹ korzystaæ ze wszystkich opcji zabezpieczania plików. To prawda, z jednym wa nym wyj¹tkiem: gdy uruchamiasz Home Edition w trybie awaryjnym (patrz Korzystanie z Trybu awaryjnego na stronie 720), bêdziesz mia³ dostêp do pe³nego edytora kontroli dostêpu, znanego z Windows 2000. Mo liwoœæ ta zosta³a pomyœlana jako zabezpieczenie na wypadek awarii komputera, pozwalaj¹ce odzyskaæ chronione pliki. Zdeterminowani u ytkownicy Home Edition mog¹ skorzystaæ z tej mo liwoœci, nadaj¹c uprawnienia dla poszczególnych plików i folderów. Nasza rada? Jeœli rozumiesz system zabezpieczeñ NTFS i chcesz z niego korzystaæ, kup wersjê Windows XP Professional. Nowa funkcja! Proste udostêpnianie plików i zaawansowany system uprawnieñ Przy czystej instalacji systemu lub po aktualizacji z Windows 98/Me Windows XP w³¹cza domyœlne ustawienia zabezpieczeñ. Domyœlnie w³¹czane jest Proste udostêpnianie plików, które udostêpnia wszystkie pliki znajduj¹ce siê w twoim folderze u ytkownika (w tym tak e foldery Mój komputer, pulpit, menu Start i Ulubione), widoczne dla wszystkich pozosta³ych u ytkowników komputera dysponuj¹cych uprawnieniami administratora (u ytkownicy dysponuj¹cy kontami o ograniczonych uprawnieniach nie mog¹ przegl¹daæ plików znajduj¹cych siê w innych profilach). Jak pokazano na rysunku 13-1, w oknie Mój komputer widoczne s¹ ikony dla wszystkich folderów, w których przechowywane s¹ dokumenty poszczególnych u ytkowników, wraz z ikon¹ folderu Dokumenty udostêpnione. (W dalszej czêœci tego rozdzia³u znajdziesz dok³adny opis dzia³ania tego folderu). Rysunek 13-1. Domyœlnie w oknie Mój komputer widoczne s¹ foldery Moje dokumenty wszystkich u ytkowników.
418 Czêœæ III: Zarz¹dzanie plikami Ta konfiguracja, która najczêœciej nie daje wystarczaj¹cego poczucia bezpieczeñstwa, przypomina domyœlne ustawienia w systemach Windows 95/98/Me. Jednak w œrodowisku, w którym poszczególni u ytkownicy mog¹ sobie ufaæ, u³atwia im wspó³pracê: jeœli korzystasz ze wspólnego komputera ze wspó³pracownikiem, mo ecie trzymaæ swoje pliki w ró nych folderach Moje dokumenty; jednak gdy chcecie obejrzeæ plik utworzony przez kolegê, wystarczy otworzyæ jego folder Moje dokumenty. W komputerach domowych tak e jest to czêsto spotykana konfiguracja, w której wszyscy domownicy mog¹ otwieraæ dokumenty utworzone przez innych. Jednak s¹ takie sytuacje, w których nale y okazywaæ mniej zaufania i które wymagaj¹ lepszego zabezpieczenia danych w komputerze. Nawet w komputerach domowych rodzice mog¹ chcieæ uniemo liwiæ dzieciom dostêp do danych finansowych zabezpieczaj¹c je w ten sposób przed przypadkowym usuniêciem lub uszkodzeniem. Zaznaczaj¹c tylko jedno pole wyboru na zak³adce Udostêpnianie okna dialogowego W³aœciwoœci, mo esz okreœliæ wybrane lub wszystkie foldery profilu u ytkownika jako prywatne. Foldery prywatne s¹ widoczne tylko dla u ytkownika danego konta. Utworzenie folderu prywatnego jest ³atwe wystarczy klikn¹æ folder prawym przyciskiem myszy, wybraæ polecenie Udostêpnianie i zabezpieczenia, a nastêpnie zaznaczyæ pole wyboru Uczyñ ten folder folderem prywatnym jednak Proste udostêpnianie plików ma równie powa ne ograniczenia: Opcja Uczyñ ten folder folderem prywatnym dostêpna jest tylko w obrêbie twojego profilu u ytkownika. Jeœli u ywasz programu, który przechowuje dane u ytkownika w innej lokalizacji, nie bêdziesz móg³ ochroniæ tego folderu przed nieautoryzowanym dostêpem. Podobnie jeœli swoje obrazy cyfrowe, pliki multimedialne oraz inne pliki zajmuj¹ce sporo miejsca przechowujesz na innej partycji, nie bêdziesz móg³ skorzystaæ z tej opcji, aby ochroniæ je przed przypadkowym usuniêciem oraz dostêpem osób niepowo³anych. Ochrona dotyczy wszystkich folderów i podfolderów folderu, dla którego j¹ w³¹czy³eœ. Nie mo esz ochroniæ poszczególnych plików ani te nie mo esz wy³¹czyæ pojedynczych plików lub folderów spod tej ochrony i udostêpniæ ich innym u ytkownikom. Foldery prywatne nie daj¹ mo liwoœci wyboru poziomu zabezpieczeñ ani u ytkowników, którzy mog¹ mieæ dostêp do plików. Gdy zaznaczysz pole wyboru Uczyñ ten folder folderem prywatnym, tylko ty bêdziesz mia³ dostêp do znajduj¹cych siê w nim plików, gdy usuniesz zaznaczenie tego pola, dostêp do folderu bêd¹ mieli wszyscy u ytkownicy komputera. Przy w³¹czonym Prostym udostêpnianiu plików, gdy kopiujesz lub przenosisz pliki lub foldery miêdzy folderem prywatnym a lokalizacj¹ udostêpnion¹, przenoszone lub kopiowane obiekty zawsze przyjmuj¹ atrybuty zabezpieczeñ folderu docelowego. Zachowanie to zmieni siê, gdy wy³¹czysz Proste udostêpnianie plików. Wiêcej informacji na ten temat znajdziesz w podrozdziale Rozwi¹zywanie problemów z uprawnieniami na stronie 442.
Rozdzia³ 13: Zabezpieczanie plików i folderów 419 OSTRZE ENIE Opcja Uczyñ ten folder folderem prywatnym jest niedostêpna, jeœli nie zabezpieczysz konta has³em. Jeœli tego nie zrobisz, ka dy u ytkownik mo e na ekranie powitalnym klikn¹æ twoj¹ nazwê u ytkownika i uzyskaæ pe³ny dostêp do plików. Przypomina ci o tym stosowne okno dialogowe, które umo liwia utworzenie has³a dla niezabezpieczonego konta. Jeœli nie odpowiadaj¹ ci te ograniczenia, mo esz wy³¹czyæ Proste udostêpnianie plików i okreœlaæ uprawnienia do plików podobnie jak w Windows 2000. Jak ju wczeœniej wspomniano, mo liwoœæ tê oferuje jedynie Windows XP Professional, i to tylko na dyskach sformatowanych w systemie plików NTFS. Aby zmieniæ system zabezpieczeñ, otwórz dowolne okno Eksploratora Windows (na przyk³ad folder Moje dokumenty lub Mój komputer) i wybierz Narzêdzia, Opcje folderów. PrzejdŸ na zak³adkê Widok i usuñ zaznaczenie pola wyboru U yj prostego udostêpniania plików (zalecane). UWAGA Aby w³¹czyæ lub wy³¹czyæ opcjê Prostego udostêpniania plików, musisz byæ cz³onkiem grupy Administratorzy. Po zmianie systemu zabezpieczeñ w oknach dialogowych folderów znajduj¹cych siê na dyskach NTFS zauwa ysz now¹ zak³adkê Zabezpieczania. Na przyk³ad na rysunku 13-2 widoczne s¹ ustawienia zabezpieczeñ dla podfolderu znajduj¹cego siê w folderze Moje dokumenty u ytkownika Marcin. Pola wyboru s¹ niedostêpne poniewa wszystkie ustawienia s¹ dziedziczone po folderze nadrzêdnym. Wiêcej informacji na ten temat znajdziesz w podrozdziale Zaawansowane opcje zabezpieczeñ na stronie 426. Rysunek 13-2. Gdy wy³¹czysz Proste udostêpnianie plików, bêdziesz musia³ poradziæ sobie z ustawieniem licznych opcji uprawnieñ NTFS dla plików i folderów. Gdy wy³¹czysz Proste udostêpnianie plików, bêdziesz musia³ poradziæ sobie z trudnymi i czêsto niebezpiecznymi opcjami. Nawet doœwiadczeni u ytkownicy Windows maj¹ czasem problemy z w³aœciwym okreœleniem uprawnieñ NTFS. Jeœli pope³nisz b³¹d, mo esz odci¹æ sobie i innym autoryzowanym u ytkownikom dostêp do wa - nych plików. Dlatego te zanim zrezygnujesz z Prostego udostêpniania plików,
420 Czêœæ III: Zarz¹dzanie plikami Jak dzia³a Proste udostêpnianie plików Proste udostêpnianie plików w zasadzie nie jest odrêbn¹ funkcj¹ Windows. Jest to interfejs u ytkownika, w którym ukryte s¹ wszystkie uprawnienia NTFS i który pozwala na zastosowanie tylko niewielkiego zestawu ustawieñ wobec wybranych obiektów. Jeœli rozumiesz system uprawnieñ NTFS, bez trudu zrozumiesz tak e zasady rz¹dz¹ce nastêpuj¹cymi elementami: Uprawnienia domyœlne. Gdy tworzysz nowe konto u ytkownika i logujesz siê do niego po raz pierwszy, Windows XP tworzy zestaw pustych folderów profilu u ytkownika i przyznaje nowemu u ytkownikowi pe³n¹ kontrolê nad nimi. Ponadto uprawnienia Pe³na kontrola przyznawane s¹ wbudowanej w system grupie Administratorzy oraz kontu System. Windows okreœla zalogowanego u ytkownika jako Twórcê-W³aœciciela tych folderów, co oznacza, e ma on pe³ne uprawnienia do pracy z tymi plikami i folderami oraz kontroluje dostêp do tych plików. (Wiêcej informacji na ten temat znajdziesz w podrozdziale Przejmowanie plików i folderów na w³asnoœæ na stronie 441). Foldery prywatne. Jeœli zaznaczysz pole wyboru Uczyñ ten folder folderem prywatnym, z listy u ytkowników, którzy maj¹ dostêp do folderu, usuwana jest grupa Administratorzy, pozostawiaj¹c na liœcie jedynie konto u ytkownika i konto System. (Cz³onek grupy Administratorzy mo e odzyskaæ kontrolê nad folderem, tylko przejmuj¹c go na w³asnoœæ, co jest jednak rejestrowane w dziennikach zdarzeñ i poprzedni w³aœciciel natychmiast to zauwa a). Foldery udostêpnione. Jak sugeruje sama nazwa, folder Dokumenty udostêpnione oraz jego podfoldery s¹ dostêpne dla wszystkich u ytkowników posiadaj¹cych konta w tym komputerze. Cz³onkowie grupy Administratorzy równie maj¹ uprawnienia Pe³nej kontroli wobec tego folderu i jego podfolderów. Cz³onkowie grupy U ytkownicy zaawansowani (dostêpnej tylko w Windows XP Professional) maj¹ pe³ne prawa z wyj¹tkiem zmiany uprawnieñ lub przejmowania plików na w³asnoœæ. Natomiast u ytkownicy kont z ograniczeniami (cz³onkowie wbudowanej grupy U ytkownicy) mog¹ otwieraæ pliki znajduj¹ce siê w folderach Foldery udostêpnione, ale nie mog¹ tworzyæ nowych plików, zmieniaæ istniej¹cych ani kopiowaæ czy przenosiæ plików do innych lokalizacji. upewnij siê, e w pe³ni rozumiesz ewentualne konsekwencje. Uwa nie przeczytaj ten rozdzia³, a jeœli udostêpniasz pliki i foldery w sieci, przeczytaj tak e rozdzia³ 31 Zarz¹dzanie udostêpnionymi folderami i drukarkami, gdy ustawienia te maj¹ tak e wp³yw na bezpieczeñstwo w sieci. Domyœlne lokalizacje udostêpnionych plików Jak wspomnieliœmy przed chwil¹, Windows XP tworzy kilka folderów przeznaczonych na dokumenty udostêpniane przez u ytkowników. Domyœlnie foldery te znajduj¹ siê w profilu All Users (przy instalacji domyœlnej znajduje siê on w lokalizacji C:\Documents And Settings\All Users). Administratorzy maj¹ pe³ny dostêp do tych folderów.
Rozdzia³ 13: Zabezpieczanie plików i folderów 421 UWAGA Jeœli komputer jest czêœci¹ domeny Windows, skróty do udostêpnionych folderów nie s¹ dostêpne. W œrodowisku grup roboczych oraz komputerów nie bêd¹cych czêœci¹ adnej sieci lokalizacja ka dego udostêpnionego folderu jest definiowana w rejestrze w nastêpuj¹cym kluczu: HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Shell Folders. Odszukanie rzeczywistej lokalizacji i okreœlenie zachowania udostêpnionych folderów mo e byæ doœæ trudne. Gdy otwierasz udostêpniony folder w oknie Eksploratora Windows, nazwa tego folderu widoczna w pasku Adres nie zawsze jest zgodna z etykiet¹, która znajduje siê pod ikon¹ folderu oraz na pasku tytu³u otwartego okna. Wartoœci rejestru, które definiuj¹ udostêpnione foldery, u ywaj¹ ca³kowicie odmiennych nazw. Oprócz tego, niektóre udostêpnione foldery s¹ ukryte i przynajmniej jeden z nich zachowuje siê w inny sposób, ni móg³byœ oczekiwaæ. Czujesz siê zagubiony? Poni sza lista nie jest pe³na, ale powinna pomóc ci w zrozumieniu zachowania najczêœciej u ywanych folderów udostêpnionych: Dokumenty udostêpnione. Aby uzyskaæ dostêp do tej ikony folderu, otwórz okno Mój komputer. Skrót w rzeczywistoœci odnosi siê do folderu Dokumenty udostêpnione w profilu All Users. Jego lokalizacja zapisana jest w rejestrze w wartoœci Common Documents. Obrazy udostêpnione. Ten podfolder znajdziesz w folderze Dokumenty. Jednak jego rzeczywista, choæ myl¹ca nazwa to Moje obrazy. Lokalizacja folderu przechowywana jest w rejestrze w wartoœci CommonPictures. Muzyka udostêpniona. Ten podfolder tak e znajduje siê w folderze Dokumenty udostêpnione. Rzeczywista nazwa tego folderu to Moja muzyka, a jego lokalizacja jest zapisana w rejestrze w wartoœci CommonMusic. Pulpit. Wszystkie pliki skopiowane lub przeniesione do folderu Pulpit w profilu All Users wyœwietlane s¹ na pulpicie wszystkich u ytkowników systemu. U ytkownicy korzystaj¹cy z kont o ograniczonych uprawnieniach mog¹ przegl¹daæ lub otwieraæ takie pliki, ale nie mog¹ zmieniaæ ich nazwy ani ich usun¹æ. W rejestrze lokalizacja ta przechowywana jest jako Common Desktop. Menu Start. Podobnie jak w przypadku folderu Pulpit, skróty lub pliki dodane do tego folderu widoczne s¹ w menu Start dla wszystkich u ytkowników i mog¹ byæ
422 Czêœæ III: Zarz¹dzanie plikami zmienione jedynie przez cz³onków grupy Administratorzy lub U ytkownicy zaawansowani. Ta lokalizacja jest przechowywane w rejestrze jako Common Start Menu. Ulubione. Zapewne oczekujesz, e folder ten zachowuje siê w taki sam sposób, jak foldery Pulpit oraz menu Start, ³¹cz¹c swoj¹ zawartoœæ ze zbiorem Ulubionych skrótów u ytkownika. Niestety, tak nie jest. W rzeczywistoœci folder ten nie robi niczego. WSKAZÓWKA Szybsze przechodzenie do udostêpnionych folderów Zamiast wpisywaæ pe³n¹ œcie kê do profilu All Users za ka dym razem, gdy chcesz pracowaæ z przechowywanymi tam plikami i skrótami, przyzwyczaj siê do u ywania skrótów opartych na zmiennej systemowej %AllUsersProfile%. Zmienna ta dzia³a we wszystkich skrótach i jest szczególnie przydatna w komputerach, w których zainstalowanych jest kilka wersji Windows XP. Dziêki tej zmiennej nie musisz pamiêtaæ, czy bie ¹cy system znajduje siê na dysku C, czy na D. Jeœli jesteœ zalogowany jako administrator, mo esz tak e klikn¹æ prawym przyciskiem myszy przycisk Start i z menu skrótów wybraæ polecenie Otwórz wszystkich u ytkowników b¹dÿ Eksploruj wszystkich u ytkowników. W ten sposób mo esz szybko przejœæ do udostêpnionych folderów. Nowa funkcja! Zachowanie prywatnoœci w³asnych plików Jeœli podczas instalacji utworzy³eœ nowe konto lub te jeœli Instalator Windows automatycznie utworzy³ konto u ytkownika podczas aktualizacji z Windows 98 lub Windows Me, twoje konto nie jest chronione has³em. Gdy tworzysz has³o do konta w aplecie Konta u ytkowników w Panelu sterowania, Windows wyœwietla na koñcu okno dialogowe pokazane na rysunku 13-3, oferuj¹ce ci mo liwoœæ okreœlenia plików i folderów jako prywatnych. (Ta opcja nie jest widoczna, jeœli twój profil u ytkownika przechowywany jest na dysku FAT32). Rysunek 13-3. Jeœli wybierzesz tê opcjê, Windows automatycznie okreœli uprawnienia dla twojego profilu u ytkownika w taki sposób, abyœ tylko ty móg³ przegl¹daæ lub otwieraæ swoje pliki i foldery.
Rozdzia³ 13: Zabezpieczanie plików i folderów 423 Stosowanie tej opcji jest wygodne, ale nie stanowi ona jedynego sposobu na zachowanie prywatnoœci plików i folderów. Bez wzglêdu na wybór dokonany w tym oknie dialogowym, mo esz zmieniæ póÿniej swoj¹ decyzjê. Mo esz dodaæ lub zdj¹æ ochronê z ca³ego profilu lub te zastosowaæ opcjê Uczyñ ten folder folderem prywatnym do wybranych podfolderów w swoim profilu. Aby zabezpieczyæ ca³y profil, wykonaj nastêpuj¹ce czynnoœci: 1. W oknie dialogowym Uruchamianie lub w wierszu polecenia wpisz %systemdrive%\documents and settings. 2. Prawym przyciskiem myszy kliknij ikonê z twoj¹ nazw¹ u ytkownika i z menu skrótów wybierz polecenie Udostêpnianie i zabezpieczenia. 3. W sekcji Udostêpnianie i zabezpieczenia lokalne zaznacz pole wyboru Uczyñ ten folder folderem prywatnym (patrz rysunek 13-4). Rysunek 13-4. Zaznacz pole wyboru Uczyñ ten folder folderem prywatnym, aby uniemo liwiæ innym u ytkownikom uzyskanie dostêpu do plików z twojego profilu u ytkownika. 4. Kliknij przycisk OK, aby zamkn¹æ okno dialogowe i zastosowaæ zmiany. Inni u ytkownicy po zalogowaniu do komputera nie bêd¹ ju widzieli w folderze Mój komputer ikony twojego folderu Moje dokumenty. Jeœli spróbuj¹ uzyskaæ dostêp do twojego profilu, otwieraj¹c folder Documents And Settings, otrzymaj¹ komunikat o braku dostêpu. To samo dotyczy podfolderów, które okreœli³eœ jako prywatne. Ochronê tego typu mo esz zastosowaæ tylko do wybranych podfolderów w twoim profilu u ytkownika. Na przyk³ad mo esz pozwoliæ innym u ytkownikom na pracê z niektórymi plikami w folderze Moje dokumenty, chroni¹c jednak inne pliki. Jeœli chcesz zastosowaæ tak¹ czêœciow¹ ochronê, utwórz podfolder i nadaj mu opisow¹ nazwê, na przyk³ad Prywatne. Przenieœ do niego wszystkie pliki i foldery, które chcesz chroniæ i zaznacz pole wyboru Uczyñ ten folder folderem prywatnym tylko dla tego folderu.
424 Czêœæ III: Zarz¹dzanie plikami ROZWI¹ZYWANIE PROBLEMÓW Nie mo na zaznaczyæ opcji Uczyñ ten folder folderem prywatnym Polecenie Udostêpnianie i zabezpieczenia jest dostêpne, gdy klikniesz prawym przyciskiem myszy dowoln¹ ikonê folderu. Jednak w niektórych sytuacjach opcja Uczyñ ten folder folderem prywatnym jest niedostêpna (nie mo esz jej zaznaczyæ lub usun¹æ zaznaczenia). Je eli tak jest w twoim przypadku, spróbuj odpowiedzieæ sobie na nastêpuj¹ce pytania: Czy dysk sformatowany jest w systemie plików NTFS? Opcja Uczyñ ten folder folderem prywatnym nigdy nie jest dostêpna na partycjach FAT32. Czy folder znajduje siê w obrêbie twojego profilu u ytkownika? Nie mo esz zastosowaæ opcji Uczyñ ten folder folderem prywatnym dla adnego folderu, który nie znajduje siê w twoim profilu u ytkownika. Czy folder nadrzêdny jest ju folderem prywatnym? Jeœli bezskutecznie próbujesz uczyniæ podfolder znajduj¹cy siê w twoim profilu u ytkownika folderem prywatnym, to sprawdÿ, czy wczeœniej nie zaznaczy³eœ pola wyboru Uczyñ ten folder folderem prywatnym dla folderu nadrzêdnego lub ca³ego profilu. PrzejdŸ w górê drzewa folderów, a znajdziesz folder okreœlony jako prywatny. Aby usun¹æ zabezpieczenie folderu, usuñ zaznaczenie pola wyboru Uczyñ ten folder folderem prywatnym. Byæ mo e bêdziesz musia³ wylogowaæ siê i zalogowaæ ponownie, aby zmiana zosta³a zaakceptowana. DLA EKSPERTÓW Nieudokumentowana dziura w Windows XP Home Edition umo liwia (chocia wcale tego nie u³atwia) okreœlenie indywidualnych ustawieñ uprawnieñ dla poszczególnych plików i folderów. W tym celu nale y uruchomiæ komputer w trybie awaryjnym. W komputerze domowym, w którym dysk zawieraj¹cy folder Documents And Settings sformatowany jest przy u yciu systemu plików NTFS, mo esz mieæ na przyk³ad trzy konta wszystkie nale ¹ce do grupy Administratorzy Mama, Tata i Kasia. Mama i Tata musz¹ mieæ dostêp do plików umo liwiaj¹cych im zarz¹dzanie pieniêdzmi (Quicken lub Microsoft Money), ale ich córka Kasia nawet nie powinna siê do nich zbli aæ. Je eli Mama zapisze plik z danymi w prywatnym folderze Moje dokumenty, to nie bêdzie z niego mog³a korzystaæ ani Kasia, ani Tata. Jeœli Mama zapisze plik w folderze Dokumenty udostêpnione, Kasia nie bêdzie mia³a problemu z dostaniem siê do niego. Jak to rozwi¹zaæ? Mama musi wykonaæ nastêpuj¹ce czynnoœci: 1. Utworzyæ plik we w³asnym (Mamy) folderze Moje dokumenty. 2. Skopiowaæ plik do folderu Dokumenty udostêpnione. (Kopia w folderze Moje dokumenty s³u y jako kopia zapasowa na wypadek problemów.) 3. Uruchomiæ komputer w trybie awaryjnym (patrz podrozdzia³ Korzystanie z Trybu awaryjnego na stronie 720) i zalogowaæ siê za pomoc¹ ekranu powitalnego. 4. Uruchomiæ Eksploratora Windows i przejœæ do folderu Dokumenty udostêpnione. 5. Prawym przyciskiem myszy klikn¹æ nazwê pliku, dla którego chce zmieniæ uprawnienia i wybraæ z menu skrótów polecenie W³aœciwoœci. Nastêpnie nale y wybraæ zak³adkê Zabezpieczenia i usun¹æ wszystkie konta z wyj¹tkiem Mama, Tata i System, które powinny mieæ uprawnienia Pe³na kontrola. (Byæ mo e bêdzie trzeba zmieniæ opcjê dziedziczenia po obiekcie nadrzêdnym, co opisano w podrozdziale Stosowanie uprawnieñ dla podfolderów poprzez dziedziczenie na stronie 432.) 4. Ponownie uruchom komputer, zaloguj siê u ywaj¹c po kolei ka dego z kont i spróbuj uzyskaæ dostêp do plików. Jeœli wszystko dzia³a tak jak powinno, usuñ kopiê bezpieczeñstwa. W ten sposób mo esz ograniczyæ dostêp do ka dego folderu przechowywanego na dysku sformatowanym w systemie plików NTFS.
Rozdzia³ 13: Zabezpieczanie plików i folderów 425 Kontrolowanie dostêpu za pomoc¹ uprawnieñ dla systemu plików NTFS Jeœli nie odpowiadaj¹ ci ograniczenia funkcji Proste udostêpnianie plików, masz mo - liwoœæ wyboru o ile oczywiœcie dysponujesz wersj¹ Windows XP Professional, a dysk, na którym znajduj¹ siê pliki, które chcesz chroniæ, sformatowany jest przy u yciu systemu plików NTFS. (W komputerach pracuj¹cych pod kontrol¹ systemu Windows XP Home Edition jedynym sposobem zmiany uprawnieñ poszczególnych plików lub folderów jest ponowne uruchomienie komputera w trybie awaryjnym lub te za pomoc¹ narzêdzia wiersza polecenia Cacls, którego opis znajdziesz w podrozdziale Okreœlanie uprawnieñ z wiersza polecenia na stronie 439). Wy³¹czaj¹c funkcjê Proste udostêpnianie plików i wykorzystuj¹c opcje dostêpu NTFS, mo esz osi¹gn¹æ jeden lub wszystkie nastêpuj¹ce cele: Kontrola dostêpu do dowolnego pliku lub folderu na ka dym dysku sformatowanym w systemie plików NTFS Jest to zdecydowanie lepsza funkcja ni Proste udostêpnianie plików, które pozwala na ochronê wy³¹cznie tych plików, które znajduj¹ siê w profilu bie ¹cego u ytkownika. Nadawanie ró nych typów dostêpu dla ró nych u ytkowników lub grup u ytkowników Na przyk³ad mo esz pozwoliæ swoim dzieciom na uzyskanie dostêpu tylko do odczytu do kolekcji plików dÿwiêkowych, tak aby mog³y je odtwarzaæ, lecz ju nie usuwaæ. Natomiast ty i twój wspó³ma³ onek macie pe³ne prawa i mo ecie zarówno usuwaæ, jak i dodawaæ nowe pliki. To olbrzymia zaleta w porównaniu z kontrol¹ typu wszyscy albo nikt, oferowan¹ przez Proste udostêpnianie plików. Dostosowanie uprawnieñ dla poszczególnych plików lub folderów Mo esz ograniczyæ dostêp do folderu zawieraj¹cego szablony s³u ¹ce do tworzenia nowych dokumentów lub stron sieci Web, daj¹c u ytkownikom uprawnienia tylko do odczytu i uniemo liwiaj¹c im w ten sposób nadpisywanie lub usuwanie plików. Ka dy u ytkownik mo e utworzyæ nowy plik w oparciu o szablon, ale mo esz mieæ pewnoœæ, e nikt go nie zmieni. OSTRZE ENIE Okreœlenie uprawnieñ NTFS bez zrozumienia wszystkich konsekwencji mo e prowadziæ do nieoczekiwanych i niepo ¹danych efektów, w tym tak e do ca³kowitej utraty dostêpu do plików i folderów. Zalecan¹ strategi¹ jest korzystanie z gotowych zestawów uprawnieñ - Pe³na kontrola, Modyfikacja itp. Jeœli zamierzasz stosowaæ specjalne uprawnienia, utwórz folder testowy i umieœæ w nim niepotrzebne pliki, tak abyœ móg³ przetestowaæ te ustawienia, zanim zastosujesz je dla wa nych plików. Najlepszym sposobem rozpoczêcia pracy z uprawnieniami jest w³¹czenie opcji Uczyñ ten folder folderem prywatnym dla ka dego folderu w obrêbie profilu u ytkownika, który chcesz zabezpieczyæ. W ten sposób zastosujesz podstawowy zestaw domyœlnych uprawnieñ, który zagwarantuje ci wy³¹cznoœæ w dostêpie do tych plików. Nastêpnie mo esz wy³¹czyæ Proste udostêpnianie plików i wyœwietliæ bardziej skomplikowan¹ zak³adkê Zabezpieczenia, na której dostêpne s¹ wszystkie uprawnienia systemu plików NTFS. W tym celu w dowolnym oknie Eksploratora Windows wybierz z menu Narzêdzia polecenie Opcje folderów. Na zak³adce Widok wyczyœæ pole wyboru U yj prostego udostêpniania plików (zalecane).
426 Czêœæ III: Zarz¹dzanie plikami Ogólna zasada nakazuje zachowanie konsekwencji w u yciu Prostego udostêpniania plików lub pe³nych uprawnieñ NTFS. Prze³¹czanie siê pomiêdzy tymi dwoma trybami mo e spowodowaæ problemy z folderami udostêpnionymi w sieci, na co zwracamy uwagê w rozdziale 31 Zarz¹dzanie udostêpnionymi folderami i drukarkami. Jeœli z regu³y u ywasz prostego udostêpniania plików, ale czasem potrzebujesz dostêpu do pe³nego zestawu uprawnieñ, mo esz pomin¹æ koniecznoœæ zmiany ustawieñ wielu opcji w oknach dialogowych. Pomo e ci w tym ten oto prosty skrypt, który pozwala na szybkie prze³¹czanie siê miêdzy oboma trybami. Otwórz program Notatnik lub jakikolwiek inny edytor zwyk³ego tekstu i wpisz nastêpuj¹cy tekst: '' ToggleSharingOptions.vbs ' Toggles between Simple Sharing and full NTFS permissions Option Explicit Dim stroldforceguestvalue, WshShell On Error Resume Next Set WshShell = WScript.CreateObject("WScript.Shell") stroldforceguestvalue = _ WshShell.RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Lsa\forceguest") If stroldforceguestvalue = "1" Then WshShell.RegWrite _ "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\forceguest", 0, "REG_DWORD" WScript.Echo "Full permissions are now available" Else WshShell.RegWrite _ "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\forceguest", 1, "REG_DWORD" WScript.Echo "Simple sharing is now on" End If Jeœli nie chcesz wpisywaæ tego tekstu, mo esz skopiowaæ plik ToggleSharingOptions.vbs znajduj¹cy siê na p³ycie CD do³¹czonej do tej ksi¹ ki. Plik ToggleSharingOptions.vbs zapisz w folderze Windows lub w All Users\Pulpit. Utwórz skrót do skryptu i umieœæ go w menu Wszystkie programy lub te, aby uzyskaæ jeszcze szybszy dostêp do tej funkcji, przydziel skryptowi skrót klawiaturowy. Zaawansowane opcje zabezpieczeñ Aby przejrzeæ uprawnienia NTFS dla pliku lub folderu i dokonaæ ich edycji, prawym przyciskiem myszy kliknij jego ikonê, wybierz polecenie W³aœciwoœci i przejdÿ na zak³adkê Zabezpieczenia. W tym oknie dialogowym znajduje siê lista wszystkich grup i u ytkowników, dla których okreœlono uprawnienia do danego elementu. Jak pokazano na rysunku 13-5, mo esz przydzieliæ ró ne uprawnienia dla ró nych u ytkowników w tym przypadku u ytkownik Marcin mo e odczytywaæ i wykonywaæ pliki (Odczyt) znajduj¹ce siê w folderze Pobrane pliki muzyczne, ale nie mo e zmieniæ istniej¹cych ju plików (Modyfikacja) ani te tworzyæ nowych plików (Zapis). W Windows XP w³aœciciel pliku lub folderu (który zazwyczaj utworzy³ dany plik) ma uprawnienia do nadawania lub zabraniania dostêpu do zasobu. Dodatkowo uprawnienia mog¹ nadawaæ lub cofaæ cz³onkowie grupy Administratorzy oraz inni autory-
Rozdzia³ 13: Zabezpieczanie plików i folderów 427 zowani u ytkownicy. Mo esz dodawaæ do listy poszczególnych u ytkowników oraz udostêpniaæ lub zabraniaæ dostêpu do poszczególnych typów plików czy czynnoœci. Mo esz tak e przydzielaæ pozwolenia dla wbudowanych grup (na przyk³ad Administratorzy) lub tworzyæ w³asne grupy i przydzielaæ im wybrane uprawnienia. Jak wyjaœnimy to za chwilê, niektóre uprawnienia nie musz¹ byæ dok³adnie zdefiniowane, gdy s¹ dziedziczone z folderu nadrzêdnego. Wszystkie pozwolenia przechowywane s¹ w systemie plików jako czêœæ listy kontroli dostêpu (ACL). wybierz u ytkownika lub grupê przejrzyj uprawnienia wybranego u ytkownika Rysunek 13-5. Lista u do³u okna dialogowego pozwala na przegl¹danie i zmianê uprawnieñ dla poszczególnych u ytkowników; ka dy u ytkownik lub grupa mo e mieæ inny zestaw uprawnieñ. Wiêcej informacji na temat tworzenia i zarz¹dzania kontami u ytkowników i grup znajdziesz w podrozdziale Konta u ytkowników na stronie 83. Jeœli u ytkownik lub grupa, której uprawnienia chcesz zmieniæ, znajduje siê ju na liœcie w górnej czêœci okna dialogowego Zabezpieczenia, mo esz nadaæ im uprawnienia, zaznaczaj¹c odpowiednie pola wyboru w kolumnie Zezwalaj, lub te odebraæ je, czyszcz¹c te pola wyboru. Zaznaczenie pola wyboru w kolumnie Odmów oznacza zabronienie wybranym u ytkownikom korzystania z okreœlonych uprawnieñ. Zaznaczenie pól w tej kolumnie jest nadrzêdne wobec wszystkich innych ustawieñ uprawnieñ maj¹cych zastosowanie wobec konta, na przyk³ad tych, które zosta³y nadane poprzez cz³onkostwo w grupie. Jeœli chcesz ca³kowicie odebraæ prawo dostêpu do danego pliku lub folderu, zaznacz w kolumnie Odmów pole wyboru Pe³na kontrola. WSKAZÓWKA Zachowaj ostro noœæ przy zmianie ustawieñ Odmów Ustawiaj¹c zabezpieczenia w wiêkszoœci komputerów domowych oraz komputerach w niewielkich firmach, postaraj siê zwalczyæ pokusê zaznaczania jakichkolwiek pól wyboru w kolumnie Odmów. Opcja ta jest wykorzystywana najczêœciej w rozleg³ych, skomplikowanych sieciach, w których zdefiniowano wiele grup u ytkowników (na przyk³ad poszczególne dzia³y) i których administratorzy chc¹ zachowaæ pe³n¹ kontrolê nad kluczowymi plikami w konkretnych lokalizacjach. Rozwik³anie wszystkich zale noœci miêdzy uprawnieniami z grupy Zezwalaj i Odmów jest czêsto trudnym zadaniem. Dlatego te, jeœli masz niewielu u ytkowników, niemal zawsze ³atwiej przyjdzie ci zdefiniowanie uprawnieñ poprzez zaznaczenie i Usuniêcie zaznaczenia pól wyboru w kolumnie Zezwalaj.
428 Czêœæ III: Zarz¹dzanie plikami W wiêkszoœci przypadków mo esz bezpiecznie nadawaæ uprawnienia wybieraj¹c u ytkownika lub grupê, a nastêpnie przydzielaj¹c jej jedn¹ lub kilka ze zdefiniowanych wstêpnie grup uprawnieñ wymienionych na liœcie w dolnej czêœci okna Zabezpieczenia. W tabeli 13-1 zebrano najwa niejsze funkcje poszczególnych grup. Tabela 13-1. Kontrola dostêpu do plików i folderów w poszczególnych grupach uprawnieñ Uprawnienie Pe³na kontrola Modyfikacja Zapis i wykonanie Wyœwietlanie zawartoœci folderu (tylko dla folderów) Odczyt Zapis Uprawnienia specjalne Sposób kontroli dostêpu do plików i folderów Daje u ytkownikom lub grupie pe³n¹ kontrolê nad wybranym plikiem lub folderem, jak zreszt¹ sugeruje sama nazwa. Zaznaczenie tego pola wyboru powoduje automatyczne zaznaczenie wszystkich pól wyboru poni ej. U ytkownicy o uprawnieniach Pe³na kontrola mog¹ przegl¹daæ zawartoœæ folderu, czytaæ i otwieraæ pliki, tworzyæ nowe pliki, usuwaæ pliki i podfoldery, zmieniaæ uprawnienia dla plików i podfolderów, a tak e przejmowaæ pliki na w³asnoœæ. Pozwala u ytkownikom na czytanie, zmianê, tworzenie i usuwanie plików, ale nie pozwala na zmianê uprawnieñ oraz przejmowanie plików na w³asnoœæ. Zaznaczenie tego pola wyboru powoduje zaznaczenie wszystkich pól poni ej i jest równoznaczne z okreœleniem uprawnieñ Zapis i wykonanie oraz Zapis. Pozwala u ytkownikowi na przegl¹danie plików oraz wykonywanie programów. Zaznaczenie tego pola wyboru wi¹ e siê z zaznaczeniem pól Wyœwietlenie zawartoœci folderu oraz Odczyt. Zapewnia te same uprawnienia co Zapis i wykonanie, dostêpne jest jednak wy³¹cznie na zak³adce Zabezpieczenia w oknie w³aœciwoœci folderu. Jedyna ró nica miêdzy tymi dwoma uprawnieniami polega na sposobie dziedziczenia. 1 Pozwala u ytkownikom na przegl¹danie zawartoœci folderów, ogl¹danie atrybutów plików, odczytywanie uprawnieñ oraz synchronizowanie plików. Jest to najbardziej podstawowy rodzaj uprawnieñ. Pozwala u ytkownikom na tworzenie plików, zapisywanie danych, odczytywanie atrybutów oraz pozwoleñ, a tak e na synchronizacjê plików. Zaznaczenie tego pola wyboru oznacza, e wybrano niestandardowy zestaw uprawnieñ który nie odpowiada³ adnemu z omówionych tu schematów. Kliknij przycisk Zaawansowane, aby przejrzeæ szczegó³y. 1. Jeœli dla folderu zastosowano uprawnienia Zapis i wykonanie, pozwolenia te s¹ dziedziczone przez wszystkie pliki i podfoldery. Natomiast uprawnienie Wyœwietlanie zawartoœci folderu, chocia identyczne z funkcjonalnego punktu widzenia, powoduje, i uprawnienia dziedziczone s¹ przez podfoldery, ale ju nie przez poszczególne pliki w folderze lub w tych podfolderach. Wiêcej informacji na temat dziedziczenia pozwoleñ znajdziesz w podrozdziale Stosowanie uprawnieñ dla podfolderów poprzez dziedziczenie na stronie 432. Aby nadaæ uprawnienia dla grupy lub u ytkownika, który nie znajduje siê na liœcie w polu Nazwy grupy lub u ytkownika, wykonaj nastêpuj¹ce czynnoœci: 1. Otwórz okno dialogowe w³aœciwoœci wybranego pliku lub folderu i kliknij zak³adkê Zabezpieczenia. 2. Kliknij przycisk Dodaj. 3. Wpisz nazwê u ytkownika w oknie dialogowym Wybieranie: U ytkownicy lub Grupy (patrz rysunek); jeœli chcesz wprowadziæ kilka nazw, oddziel je œrednikami. (Pamiêtaj, e musisz wpisaæ nazwê u ytkownika, która mo e ró niæ siê od pe³nej nazwy, jaka widoczna jest na ekranie powitalnym).
Rozdzia³ 13: Zabezpieczanie plików i folderów 429 4. Kliknij przycisk SprawdŸ nazwy, aby mieæ pewnoœæ, e prawid³owo poda³eœ wszystkie nazwy. 5. Kliknij przycisk OK, aby powróciæ do okna dialogowego Zabezpieczenia i okreœliæ uprawnienia dla nowo dodanych u ytkowników. DLA EKSPERTÓW W komputerach nie stanowi¹cych czêœci sieci lub bêd¹cych czêœci¹ grupy roboczej nie pod³¹czonej do domeny Windows lista dostêpnych nazw jest dostêpna tylko z bazy danych kont u ytkownika w komputerze lokalnym tj. tym, do którego jesteœ zalogowany. Jeœli komputer jest cz³onkiem domeny, mo esz klikn¹æ przycisk Lokalizacje i wybraæ uprawnienia dla u ytkowników lokalnego komputera lub tych z katalogu domeny. Jeœli wprowadzisz nazwy u ytkowników domeny, wpisz fragment i kliknij przycisk SprawdŸ nazwy. Niestety, nie mo esz u ywaæ tego samego skrótu w celu wybrania u ytkowników i grup zdefiniowanych w bazie danych kont komputera lokalnego; w tym przypadku musisz wpisaæ pe³ne nazwy u ytkowników, a jeœli pomylisz choæby jeden znak, zobaczysz komunikat b³êdu. (Windows automatycznie wype³ni nazwê komputera lub domeny). Jeœli chcesz zobaczyæ listê dostêpnych lokalnych u ytkowników i grup, kliknij przycisk Zaawansowane, a nastêpnie przycisk ZnajdŸ teraz. Wyszukane zostan¹ wszystkie konta u ytkowników, konta grup oraz specjalne konta w komputerze lokalnym. Dodaj¹c lub usuwaj¹c uprawnienia, nale y stosowaæ siê do nastêpuj¹cych zasad: Zaczynaj od folderu nadrzêdnego i stopniowo przechodÿ w dó³ drzewa folderów Domyœlnie wszystkie uprawnienia okreœlone dla folderu dotycz¹ wszystkich jego podfolderów i plików. (Wiêcej szczegó³ów znajdziesz w podrozdziale Stosowanie uprawnieñ dla podfolderów poprzez dziedziczenie na stronie 432). Zarz¹dzanie dostêpem do plików jest znacznie ³atwiejsze, gdy okreœlisz spójny zestaw uprawnieñ dla wszystkich plików w okreœlonej lokalizacji, z wyj¹tkami wprowadzonymi tylko w tych przypadkach, w których jest to naprawdê konieczne. Pliki udostêpniane umieœæ w jednej lokalizacji Jeœli dane udostêpniane porozrzucane s¹ po ró nych dyskach i folderach, ³atwo straciæ kontrolê nad zastosowanymi uprawnieniami. Postaraj siê zebraæ wszystkie udostêpnione pliki w jedn¹ grupê folderów. Gdy podobne dane znajd¹ siê w jednym miejscu, ³atwiej ci bêdzie zastosowaæ wobec nich jednolite uprawnienia oraz wykonaæ ich kopiê zapasow¹. Nadawaj uprawnienia ca³ym grupom, gdy tylko jest to mo liwe Ta uwaga dotyczy zw³aszcza niewielkich firm. Skorzystaj z wbudowanych grup Administratorzy, U ytkownicy zaawansowani i U ytkownicy, nadaj¹c im okreœlone poziomy uprawnieñ. Jeœli chcesz zdefiniowaæ uprawnienia niestandardowe dla kilku u ytkowników, po³¹cz ich w jedn¹ grupê i przydziel ca³ej grupie jednolite uprawnie-
430 Czêœæ III: Zarz¹dzanie plikami nia. Utwórz now¹ grupê lokaln¹ i dodaj do niej u ytkowników, którzy musz¹ mieæ dostêp do wybranych plików. (Wiêcej szczegó³ów na ten temat znajdziesz w podrozdziale U ywanie przystawki U ytkownicy i grupy lokalne na stronie 102.) Otwórz okno dialogowe w³aœciwoœci dla pierwszego folderu, wybierz zak³adkê Zabezpieczenia, dodaj utworzon¹ przed chwilê grupê i nadaj jej okreœlone uprawnienia. Powtórz te same czynnoœci dla ka dego folderu. PóŸniej, gdy jeden z cz³onków tej grupy odejdzie z niej lub te przybêdzie kolejny cz³onek, bêdziesz musia³ zmieniæ jedynie cz³onkostwo w grupach. Wiêcej informacji na temat tworzenia grup lokalnych i zarz¹dzania nimi znajdziesz w podrozdziale Konta u ytkowników na stronie 83. Unikaj stosowania uprawnieñ specjalnych Jeœli nie jesteœ doœwiadczonym administratorem sieci i nie rozumiesz do koñca skomplikowanych zale noœci miêdzy uprawnieniami NTFS, nie ulegnij pokusie nadawania specjalnych uprawnieñ dla pojedynczych plików lub folderów. Wbudowane ustawienia zabezpieczeñ (Pe³na kontrola, Modyfikacja, Zapis i wykonanie) s¹ w wiêkszoœci przypadków wystarczaj¹ce. Nadaj u ytkownikom taki poziom dostêpu, jakiego rzeczywiœcie potrzebuj¹ Je eli dany u ytkownik powinien mieæ mo liwoœæ przegl¹dania plików w danej lokalizacji, ale nie musi tworzyæ nowych plików czy zmieniaæ plików ju istniej¹cych, przyznaj mu uprawnienia Odczyt. Jest to szczególnie wa ne, jeœli chcesz zapobiec przypadkowemu usuniêciu wa nych plików przez niedoœwiadczonych u ytkowników. ROZWI¹ZYWANIE PROBLEMÓW Nie mo esz zmieniæ uprawnieñ dla plików lub folderów Jeœli nie mo esz okreœliæ specjalnych uprawnieñ, przejrzyj poni sz¹ listê symptomów i spróbuj zastosowaæ zalecan¹ technikê: Zak³adka Zabezpieczenia nie jest widoczna. Widzisz tylko zak³adkê Udostêpnianie? Jeœli tak, wybierz polecenie Narzêdzia, Opcje folderów i usuñ zaznaczenie pola wyboru U yj prostego udostêpniania plików (zalecane). Jeœli w dalszym ci¹gu w oknie dialogowym w³aœciwoœci widoczna bêdzie jedynie zak³adka Udostêpnianie, to najprawdopodobniej dysk zawieraj¹cy dany folder lub plik sformatowany jest w systemie plików FAT32. Zak³adka Zabezpieczenia widoczna jest jedynie na dyskach NTFS. Wprowadzi³eœ zmiany, ale znaki zaznaczenia znik³y. To byæ mo e nie jest oznak¹ adnego problemu. Jeœli okreœlisz uprawnienia i zastosujesz je do innego elementu ni domyœlna lokalizacja Ten folder, podfoldery i pliki Windows zaznaczy pole wyboru Uprawnienia specjalne (znajduj¹ce siê na samym koñcu listy Uprawnienia). Mo esz przejrzeæ zastosowane uprawnienia, klikaj¹c przycisk Zaawansowane, wybieraj¹c u ytkownika lub grupê i klikaj¹c przycisk Edytuj. Ustawienia uprawnieñ s¹ niedostêpne. SprawdŸ uprawnienia dla swojego konta u ytkownika. Musisz byæ zalogowany jako cz³onek grupy Administratorzy lub w³aœciciel danego obiektu, aby móc okreœliæ uprawnienia dla niego. Ustawienia te bêd¹ niedostêpne tak e i wtedy, gdy wybrany obiekt dziedziczy uprawnienia po folderze nadrzêdnym. Jeœli chcesz przydzieliæ mu niestandardowe uprawnienia, musisz wy³¹czyæ dziedziczenie, zgodnie z opisem zamieszczonym w podrozdziale Stosowanie uprawnieñ dla podfolderów poprzez dziedziczenie na stronie 432. Praca z u ytkownikami i grupami wbudowanymi Oprócz standardowych grup lokalnych (na przyk³ad Administratorzy czy U ytkownicy), Windows XP oferuje tak e wiele innych grup i u ytkowników. S¹ to elementy
Rozdzia³ 13: Zabezpieczanie plików i folderów 431 wbudowane w system i nie mo na ich usun¹æ. Czêsto s¹ one stosowane przy nadawaniu specjalnych uprawnieñ zasobom systemowym (w tym plikom i folderom); w wielu przypadkach oferuj¹ domyœlne ustawienia stosowane do kont u ytkowników w oparciu o sposób, w jaki dane konto korzysta z systemu. UWAGA Specjalne to samoœci okreœla siê czêsto jako znane identyfikatory zabezpieczeñ (SID). Najczêœciej wykorzystywan¹ to samoœci¹ specjaln¹ jest grupa Wszyscy, która obejmuje wszystkich u ytkowników loguj¹cych siê do komputera. Na dysku, który zosta³ przekonwertowany na system plików NTFS, grupa Wszyscy ma uprawnienia Pe³na kontrola co pozwala wszystkim osobom loguj¹cym siê do komputera na wykonanie wszystkich operacji na plikach i folderach znajduj¹cych siê na tym dysku, oczywiœcie o ile nie zastosowano adnych zabezpieczeñ w odniesieniu do poszczególnych podfolderów i plików. Poznanie i zrozumienie tych wbudowanych kont jest niezbêdne, aby móc efektywnie u ywaæ zaawansowanych uprawnieñ NTFS. W tabeli 13-12 zebrano najczêœciej u ywane to samoœci specjalne. Tabela 13-2. To samoœci specjalne dostêpne w Windows XP To samoœæ specjalna Wszyscy Twórca-W³aœciciel U ytkownicy uwierzytelnieni Interaktywna Logowanie anonimowe Dialup Sieæ Opis Obejmuje wszystkich u ytkowników, którzy maj¹ dostêp do komputera, w tym tak e Goœci. Ta grupa nie zawiera grupy Logowanie anonimowe. U ytkownik, który utworzy³ wybrany plik lub folder lub te który przej¹³ ten element na w³asnoœæ. Obejmuje wszystkich u ytkowników, którzy loguj¹ siê, podaj¹c nazwê u ytkownika oraz has³o. W przeciwieñstwie do grupy Wszyscy, ta grupa nie obejmuje u ytkowników loguj¹cych siê jako Goœæ, nawet jeœli do tego konta przydzielono has³o. Obejmuje wszystkich u ytkowników, którzy loguj¹ siê lokalnie lub poprzez Pulpit zdalny. Obejmuje anonimowych u ytkowników loguj¹cych siê poprzez sieæ, na przyk³ad po³¹czenia z serwerem Web. Logowanie interaktywne i anonimowe wzajemnie siê wykluczaj¹. Obejmuje wszystkich u ytkowników loguj¹cych siê poprzez po³¹czenia dial-up. Obejmuje wszystkich u ytkowników loguj¹cych siê poprzez sieæ. Nie obejmuje logowania interaktywnego wykorzystuj¹cego Pulpit zdalny. Niektóre z tych to samoœci specjalnych s¹ rzadko u ywane i przeciêtny u ytkownik nigdy nie musi z nich korzystaæ. Jednak niektóre konta mog¹ stanowiæ bardzo istotny element zabezpieczeñ twojego komputera. Na przyk³ad mo esz zastosowaæ nastêpuj¹cy zestaw uprawnieñ w celu zwiêkszenia bezpieczeñstwa komputera: W przypadku wspó³u ytkowanych folderów z danymi nadaj grupie U ytkownicy uprawnienia Zapis i wykonanie oraz uprawnienie Zapis, natomiast uprawnienia Pe³na kontrola przyznaj Twórcy-W³aœcicielowi. Dziêki takiej konfiguracji u ytkownicy, którzy utworzyli plik lub folder, staj¹ siê w³aœcicielami obiektu i mog¹ go zarówno otwieraæ, jak i modyfikowaæ czy usuwaæ. Inni u ytkownicy mog¹ odczy-
432 Czêœæ III: Zarz¹dzanie plikami tywaæ i modyfikowaæ dokumenty utworzone przez wspó³u ytkowników komputera, ale nie mog¹ ich usuwaæ. Jeœli dysponujesz drugim dyskiem twardym i chcia³byœ uniemo liwiæ u ytkownikom korzystaj¹cym z konta Goœæ uzyskanie jakiegokolwiek dostêpu do znajduj¹cych siê na nim plików, zmieñ domyœlne uprawnienia w g³ównym folderze dysku. Dodaj grupê U ytkownicy uwierzytelnieni, nadaj jej uprawnienia Pe³na kontrola, a nastêpnie usuñ domyœln¹ grupê Wszyscy. OSTRZE ENIE Jednym z b³êdów najczêœciej pope³nianych przez osoby, które nie maj¹ doœwiadczenia w pracy z uprawnieniami systemu NTFS, jest usuwanie grupy Wszyscy z g³ównego folderu dysku lub co gorsze zaznaczenie pola wyboru Odmów przy pozycji Pe³na kontrola dla tej grupy. Jeœli spróbujesz zrobiæ to w Windows XP Professional, system wyœwietli komunikat z informacj¹, e próbujesz zabroniæ wszystkim u ytkownikom komputera dostêpu do wszystkich plików na dysku a z pewnoœci¹ nie to mia³eœ na myœli! Pamiêtaj, e bardziej restrykcyjne uprawnienia zawsze s¹ nadrzêdne wobec ³agodniejszych zasad. Najlepsz¹ strategi¹ w przypadku g³ównych folderów dysków jest upewnienie siê, e wszyscy u ytkownicy, maj¹cy dostêp do plików na tym dysku, maj¹ odpowiednie uprawnienia. Gdy odpowiednio zorganizujesz dane na dysku, mo esz zaostrzyæ bezpieczeñstwo dla poszczególnych podfolderów. Windows XP oferuje trzy specjalne konta, które s¹ zarezerwowane dla procesów programów i systemu i nigdy nie s¹ u ywane przez u ytkowników. Grupa zabezpieczeñ Wsadowy zapewnia uprawnienia dla wszystkich procesów wsadowych (takich jak zadania uruchamiane poprzez Zaplanowane zadania) oraz procesów systemowych, które nigdy nie s¹ u ywane bezpoœrednio przez u ytkowników, a które musz¹ uzyskaæ dostêp do zasobów w komputerze. Grupa Us³uga jest u ywana przez us³ugi systemowe i jest kontrolowana przez system operacyjny. Grupa System pozwala systemowi operacyjnemu na uzyskanie dostêpu do chronionych zasobów. Uprawnienia dla tych grup zabezpieczeñ s¹ okreœlane przez system operacyjny i nigdy nie nale y ich zmieniaæ. OSTRZE ENIE Zmiana domyœlnych uprawnieñ na dysku zawieraj¹cym pliki systemowe Windows nie jest dobrym pomys³em. Podczas instalacji Windows XP stosuje okreœlone uprawnienia wobec folderu g³ównego dysku systemowego, do folderów Windows, System32 oraz Documents And Settings, a tak e do wybranych podfolderów znajduj¹cy siê w ka dej z tych lokalizacji. Zmiana domyœlnych ustawieñ nie zwiêkszy bezpieczeñstwa, a niemal z pewnoœci¹ spowoduje problemy z niektórymi u ytkownikami lub programami. Jeœli wprowadzi³eœ ju jakieœ zmiany zabezpieczeñ folderu systemowego i nie wiesz, jak przywróciæ ustawienia domyœlne, przeszukaj bazê Microsoft Konowledge Base i znajdÿ aktualizacjê dotycz¹c¹ Windows XP do artyku³u Q244600 Default NTFS Permissions in Windows 2000. Stosowanie uprawnieñ dla podfolderów poprzez dziedziczenie Pliki i podfoldery mog¹ dziedziczyæ uprawnienia po folderze nadrzêdnym. Domyœlnie wszystkie nowe uprawnienia folderu przenoszone s¹ tak e na jego podfoldery. Zatem gdy utworzysz nowy podfolder w folderze Moje dokumenty, to automatycznie nadawane s¹ mu wszystkie uprawnienia okreœlone dla twojego profilu. Jeœli uczyni³eœ swój profil u ytkownika profilem prywatnym, nowy podfolder i znajduj¹ce siê w nim pliki tak e stan¹ siê prywatne.
Rozdzia³ 13: Zabezpieczanie plików i folderów 433 Mo esz zapobiec dziedziczeniu uprawnieñ, zmieniaj¹c opcje folderu. Mo esz zatrzymaæ dziedziczenie uprawnieñ przez podfoldery lub pliki (lub i jedne i drugie). Od tej pory wobec plików i podfolderów stosowane bêd¹ jedynie te uprawnienia, które nadasz im indywidualnie. Aby sprawdziæ opcje dziedziczenia dla wybranego folderu, kliknij ikonê folderu prawym przyciskiem myszy, wybierz polecenie W³aœciwoœci i wybierz zak³adkê Zabezpieczenia. Kliknij przycisk Zaawansowane, aby wyœwietliæ okno dialogowe Zaawansowane ustawienia zabezpieczeñ. W kolumnie Odziedziczone po mo esz dowiedzieæ siê, po którym folderze nadrzêdnym dziedziczone s¹ uprawnienia. W przyk³adzie widocznym na rysunku 13-6 grupa Wszyscy dziedziczy uprawnienia Pe³na kontrola po folderze g³ównym w dysku E, natomiast inne uprawnienia, okreœlone jako <nie odziedziczone>, zosta³y zastosowane bezpoœrednio wobec tego folderu. te uprawnienia zosta³y zastosowane bezpoœrednio do bie ¹cego folderu te uprawnienia s¹ dziedziczone po folderze nadrzêdnym Rysunek 13-6. Lista uprawnieñ pozwala zidentyfikowaæ te, które s¹ dziedziczone po folderze nadrzêdnym. W tym przyk³adzie dziedziczone uprawnienia s¹ sprzeczne z zabezpieczeniami, jakie chcemy zastosowaæ wobec tego folderu. Aby usun¹æ dziedziczone uprawnienia, usuñ zaznaczenie pola wyboru Dziedzicz po obiekcie nadrzêdnym wpisy uprawnienia stosowane do obiektów podrzêdnych. Wyœwietlone zostanie nastêpuj¹ce okno dialogowe, z ostrze eniem i informacj¹ o dostêpnych opcjach:
434 Czêœæ III: Zarz¹dzanie plikami Kliknij jeden z trzech dostêpnych przycisków: Kopiuj. Ta opcja pozwala na skopiowanie uprawnieñ zastosowanych w folderze nadrzêdnym do bie ¹cego pliku lub folderu, a nastêpnie rozerwanie dziedzicznoœci tych elementów. Jeœli klikniesz ten przycisk, bêdziesz mia³ mo liwoœæ dostosowania uprawnieñ do w³asnych potrzeb. Usuñ. Ta opcja ca³kowicie usuwa dziedziczone uprawnienia i zatrzymuje jedynie te, które nada³eœ bezpoœrednio plikowi lub folderowi. Anuluj. Ten przycisk zamyka okno dialogowe i pozostawia opcje dziedziczenia niezmienione. Po usuniêciu dziedziczonych uprawnieñ dla folderu staje siê on nowym folderem nadrzêdnym. Wszystkie uprawnienia nadane temu folderowi zostan¹ domyœlnie zastosowane wobec jego podfolderów i znajduj¹cych siê w nim plików. Doskona³ym przyk³adem dzia³ania dziedziczenia uprawnieñ jest profil u ytkownika po w³¹czeniu funkcji Proste udostêpnianie plików i uczynieniu tego folderu folderem prywatnym. Po w³¹czeniu Prostego udostêpniania plików zaznacz pole wyboru Uczyñ ten folder folderem prywatnym, a nastêpnie wy³¹cz Proste udostêpnianie plików. Gdy teraz klikniesz przycisk Zaawansowane na zak³adce Zabezpieczenia, zobaczysz, e pole wyboru Dziedzicz po obiekcie nadrzêdnym wpisy uprawnienia stosowane do obiektów podrzêdnych nie jest zaznaczone i e pozwolenia dotycz¹ce tego folderu zawieraj¹ jedynie konto System oraz twoje konto u ytkownika oba z uprawnieniami Pe³na kontrola. W efekcie dostêp do tego folderu masz tylko ty. W niektórych okolicznoœciach mo esz zechcieæ zastosowaæ dwie lub kilka grup uprawnieñ do tego samego folderu dla tej samej grupy, zachowuj¹c ró ne ustawienia dziedziczenia dla tych grup. Na przyk³ad za³ó my, e wraz ze wspó³pracownikiem pracujesz nad supertajnym projektem. Utworzy³eœ ju udostêpniony folder o nazwie Projekt X, z którego korzystaæ mog¹ wszystkie osoby dysponuj¹ce kontami w twoim komputerze. W g³ównym folderze umieœci³eœ szablony dokumentów, z których korzystaæ mog¹ wszyscy cz³onkowie zespo³u; utworzy³eœ tak e podfoldery, w których bêdziesz przechowywa³ inne pliki projektu. W tym scenariuszu mo esz daæ u ytkownikom grupy Wszyscy uprawnienia Zapis i wykonanie dla plików znajduj¹cych siê w g³ównym folderze oraz uprawnienia Pe³na kontrola wobec podfolderów. U ytkownicy maj¹cy dostêp do g³ównego folderu mog¹ mieæ uprawnienia, które nie pozwol¹ im na przypadkowe usuniêcie lub wprowadzenie zmian do szablonów. Nadaj¹c inny zestaw uprawnieñ dla podfolderów, mo esz umo liwiæ wybranym u ytkownikom tworzenie nowych plików oraz wprowadzanie zmian do zapisanych uprzednio dokumentów. Aby zastosowaæ taki zestaw uprawnieñ, wykonaj nastêpuj¹ce czynnoœci: 1. Otwórz okno dialogowe w³aœciwoœci g³ównego folderu, który chcesz dostosowaæ (w tym przyk³adzie folderu Projekt X) i wybierz zak³adkê Zabezpieczenia. 2. Kliknij przycisk Dodaj. 3. W oknie dialogowym Wybieranie: U ytkownicy lub Grupy wpisz Administratorzy i kliknij przycisk OK. 4. Z listy Nazwy grupy lub u ytkownika znajduj¹cej siê w górnej czêœci okna dialogowego W³aœciwoœci: Projekt X, wybierz pozycjê Administratorzy i na liœcie